Veracrypt (keine Systemverschlüsselung) unter Linux - Erfahrungen?

Mr.joker schrieb:
Jetzt frage ich mich, woran es liegen kann, läuft Veracrypt unter Linux vielleicht schlicht nicht so zuverlässig? Oder liegt es an VirtualBox?
Das könntest du ja auch testen, wo du schon dabei bist. Setze doch Windows in einer dir beliebigen Version in der VM auf und teste dort genauso Veracrypt :-)
Am Ende wird ja vielleicht sogar ne Bugmeldung an den VM Betreiber und Veracrypt draus Aufgrund von sich selbst zerstörender verschlüsselter Partitionen. :cheerlead:
 
Alexander2 schrieb:
Zur Info, Manjaro ist mehr zu Arch Linux verwandt als zu Ubuntu, daher: https://wiki.archlinux.org/title/TrueCrypt
....
Ja, danke, das hatte ich auch gesehen, aber schon damals als nicht hilfreich empfunden. Dort steht auch nichts über den Umgang mit der GUI; ich starte/mounte Veracrypt ja ausschließlich über die GUI.
Ich bin es jetzt noch mal durchgegangen ...
Der Artikel bezieht sich ja auf Truecrypt, welches seit 2014 nicht mehr weiterentwickelt wird.
Einiges (das meiste?), was da steht, mag auch auf Veracrypt zutreffen, aber vielleicht hat sich ja Veracrypt in den letzten Jahren trotzdem weiterentwickelt?
Irgendwie lässt mich der Artikel mit mehr Fragen zurück, als er beantwortet!

Zum Thema "unmount" steht dort:
Safely unmount and unmap volumes (on shutdown)

You can unmount a specific device by

# truecrypt -d /path/to/mountpoint

or leave away the path to unmount all truecrypt volumes.

If you want your truecrypt device to be unmounted automatically at shutdown, add the following to the file /etc/rc.local.shutdown:

if (/usr/bin/truecrypt --text --list)
then {
/usr/bin/truecrypt -d
sleep 3
}
fi

You can also leave away the sleep command, it is just to give the unmounting some time to complete before the actual shutdown.
Demnach müsste man also jedes Mal für ein "safely unmount" diesen Befehl ausführen?:
# truecrypt -d /path/to/mountpoint
Ansonsten passiert was? "Unsafely unmount"?! = möglicher Datenverlust?

Oder man legt diese o.g. Code-Zeile an für das automatische Aushängen beim Runterfahren.
Allerdings gibt es diese Datei /etc/rc.local.shutdown bei mir nicht. Aus obiger Beschreibung entnehme ich, dass die Datei schon vorhanden sein sollte. Da dem aber nicht so ist, würde ich vermuten, dass Veracrypt sie nicht angelegt hat, weil die Arbeitsweise mittlerweile halt eine andere ist.
Für mich ein Hinweis, dass das unter Veracrypt so gar nicht mehr vorgesehen ist.

Einen weitereren Hinweis, dass ein automatisches Aushängen beim Herunterfahren in Veracrypt bereits implementiert ist, liefern für mich diese Code-Zeilen, die ich in Beitrag 17 zitiert habe.
Wie dort erwähnt, gibt es unter folgendem Pfad /home/Benutzer/.config/VeraCrypt eine Configuration.xml
Dort steht u.a.:
<config key="DismountOnLogOff">1</config>
<config key="DismountOnPowerSaving">0</config>
Daraus könnte man ableiten, dass es eine Konfiguration gibt (wo? oder ist das die Konfigurationsdatei?). 0 könnte für "Nein" stehen, 1 für ja.
Einen weiteren Hinweis, dass es ein automatisches Aushängen in Linux gibt, liefert das genannte Ubuntu-Wiki (wenn auch dort wieder anders beschrieben und so wahrscheinlich nicht auf Arch übertragbar (die dort genannte Datei /etc/default/veracrypt gibt es bei mir nicht)).

Aber das ist natürlich alles ein ziemliches Rätselraten!

Alexander2 schrieb:
Das könntest du ja auch testen, wo du schon dabei bist. Setze doch Windows in einer dir beliebigen Version in der VM auf und teste dort genauso Veracrypt :-)
Am Ende wird ja vielleicht sogar ne Bugmeldung an den VM Betreiber und Veracrypt draus Aufgrund von sich selbst zerstörender verschlüsselter Partitionen. :cheerlead:
Klar, das könnte man machen.
Weiß nicht, ob ich dafür noch mal meinen alten Win-7-Schlüssel reaktivieren könnte, ansonsten müsste ich noch Geld ausgeben für einen Key.
Aber das ist nicht das Hauptproblem, sondern es wäre halt einfach sehr aufwändig ... um das richtig zu simulieren, müsste ich über Wochen/Monate das System mindestens einmal am Tag, besser mehrmals täglich hoch- und runterfahren und Veracrypt mounten und zwischendrin am besten noch ein wenig damit "arbeiten".

Bei Manjaro (mit dem ich ja tatsächlich arbeite, weil ich mich damit anfreunden will) mache ich das im Moment tatsächlich so.
Nachdem ich mein Veracrypt-Volumen (nach dem letzten Datenverlust) wieder mit Dateien bestückt habe, mounte ich das mindestens einmal täglich. Im Container liegt z.B. mein Firefox Profil, so das ich automatisch mit dem geöffneten Container arbeite, wenn ich FF starte. Mal schauen, wie lange die Dateien diesmal erhalten bleiben!
Ergänzung ()

Ich könnte jetzt natürlich auch ausprobieren, ob ich noch mal einen Datenverlust habe, wenn ich über Wochen/Monate (letztes Mal hat es ca. 5 Wochen bis zum Datenverlust gedauert) immer schön brav vor dem Herunterfahren diesen Befehl eingebe:
# veracrypt -d /path/to/mountpoint

Aber ehrlich gesagt würde das glaube ich meine gesamte Arbeit mit Veracrypt in Frage stellen.
Da ich im "Normalbetrieb" später das System eigentlich nur unregelmäßig ab und zu runterfahre (ansonsten halt immer Standby), würde ich das dann bestimmt oft vergessen!
Und mal davon abgesehen, habe ich Linux (in der virtuellen Maschine) auch als recht absturzfreudig kennengelernt. In dem Fall könnte ich dann sowieso nicht mehr ordnungsgemäß herunterfahren.
 
Zuletzt bearbeitet:
Also so einen Datenverlust hatte ich auf meinem Arbeitssystem bisher auch noch nie.
Hast du denn vor den Herunterfahren den "Dismount" Knopf im GUI benutzt? Und hängen die Verlust eventuell mit den von dir erwähnten Abstürzen zusammen?

Wenn du testweise mal das erwähnte dm-crypt auf der Kommandozeile probieren möchtest, dass geht äußerst schnell.
Angenommen deine zu verschlüsselnde Test-Festplatte ist /dev/sda:
Code:
sudo parted -a optimal /dev/sda
#um sie zu bearbeiten
mklabel gpt
mkpart primary 0% 100%
q
#um eine Partitionstabelle und eine Partition zu erstellen und dann mit q und Enter verlassen.
#Vorsicht, parted schreibt Änderungen direkt und unwiderruflich auf die Platte!
sudo cryptsetup luksFormat /dev/sda1
#verschlüsselt jetzt die neue Partition und fragt dich dafür nach einem Passwort.
sudo cryptsetup open /dev/sda1 Platte
#hiermit öffnest du deine neu verschlüsselte Partition, die auch einen beliebigen Namen, hier "Platte", hat.
sudo mkfs.ext4 -T largefile /dev/mapper/Platte
#fügt ein ext4 Dateisystem hinzu.
sudo mount -t ext4 /dev/mapper/Platte /mnt
#damit die Festplatte unter /mnt eingehängt wird.
Dann nach belieben Daten schreiben (eventuell mit "sudo chown [username] /mnt" deinen Benutzer zum Eigentümer machen, sonst kann nur root auf die HDD schreiben) und anschließend mit
Code:
sudo umount /mnt
#aushängen und mit
sudo cryptsetup close Platte
#wieder verschließen.
So habe ich das mit allen meinen externen Festplatten gemacht. Zusätzlich muss ich sie nicht jedes Mal von Hand mounten, weil thunar das mit einer grafischen Oberfläche erledigt.
 

Anhänge

  • Screenshot_2021-09-19_23-23-57.png
    Screenshot_2021-09-19_23-23-57.png
    41,4 KB · Aufrufe: 229
Zuletzt bearbeitet:
iWaver schrieb:
... Hast du denn vor den Herunterfahren den "Dismount" Knopf im GUI benutzt? Und hängen die Verlust eventuell mit den von dir erwähnten Abstürzen zusammen?
...
Nein, den Dismount-Knopf habe ich (meistens) nicht benutzt, weil ich ja davon ausging, dass das nicht nötig ist beim Herunterfahren.
Dazu sei noch einmal erwähnt: Es handelt sich hier um eine interne Festplatte, auf der meine "Eigenen Dateien" liegen. Diese soll i.d.R. immer gemountet und entschlüsselt (durch Veracrypt "aufgeschlossen") sein. Nur beim Runterfahren des Systems, also alle paar Tage mal oder spätestens einmal in der Woche nach einer Datensicherung, soll sie (automatisch) ausgehängt und "zugeschlossen" werden.
Ich dachte, aufgrund des einen oder anderen bereits genannten Indiz, das wäre unter Linux auch genauso möglich, wie unter Windows, wo ich das schon viele Jahre so völlig problemlos gehandhabt habe.

Wenn ich meine externe Backup-Platte (ebenfalls veracrypt-verschlüsselt) anhänge, ist das natürlich was anderes. Die wird ja immer nur kurz für den Sicherungsvorgang an- und abgestöpselt (ohne, dass ich das System danach herunterfahre). Dabei wird sie, bzw. wurde dann auch schon seit jeher unter Windows wieder über die Veracrypt-GUI manuell ausgehängt und dann die Platte noch "sicher entfernt".

Ich mache halt nicht gerne unnötige Handgriffe/Schritte. D.h., ich fände es einfach gut, definitiv zu wissen, ob das automatische Aushängen beim Herunterfahren unter Linux genauso funktioniert, wie unter Windows oder eben nicht.
Weil, wenn nicht, würde ich halt versuchen, mich umzugewöhnen. Wobei ich das vermutlich nicht so richtig schaffen werde. Vermutlich vergesse ich es dann doch immer mal wieder, vor allem im Eifer des Gefechts, wenn irgendetwas anderes nicht mehr funktioniert und ich keine andere Möglichkeit, als einen unplanmäßigen Neustart sehe o.ä.

Aber bisher war es nicht so, dass nach einem Systemabsturz die Daten weggewesen wären!
Das habe ich natürlich auch immer als erstes danach geprüft, weil das dann wenigstens ein Erklärungsansatz wäre.


Vielen Dank für deine Mühe und die Erklärung dm-crypt bezüglich!
So könnte ich das natürlich noch mal versuchen ... obwohl ich jetzt schon ein gebranntes Kind bin, diesbezüglich!
Ich habe es mehrmals mit der KDE-Partitionsverwaltung versucht und danach auch noch mehrmals über ZuluCrypt.
Immer mit ungefähr folgendem Ergebnis nach einem Neustart:
Luks-Crash.png

Dabei scheint es ja eigentlich nicht soo schwer, das über eine GUI zu machen.
In der Partitionsverwaltung z.B.:
  • Partitionstabelle (GPT) schreiben
  • ext4 formatieren und bei der Gelegenheit das Häkchen setzen bei "mit LUKS verschlüsseln" und dann noch Passwort eingeben
  • Einhängepunkt bearbeiten /home/Nutzer/luks; Einhängen per UUID
  • Einhängen
  • Evtl. noch Eigentumsrechte ändern und testweise etwas ins neue Verzeichnis schreiben
Die einzelnen Schritte werden mir auch immer als erfolgreich ausgeführt angezeigt, wenn ich auf "Anwenden" klicke.

So, dann mache ich einen Neustart und danach sieht man das obige Bild.
Was ich nicht mache ist ein manuelles Aushängen, weil ich denke/dachte, dass das das System macht.
Es heißt ja immer LUKS/dm-crypt sei so gut ins System integriert, da dachte ich, das bedeutet, dass eben z.B. ein automatisches sicheres Aushängen gewährleistet ist.

Was mich dann auch zu der Frage bringt: Muss man die o.g. 4 Code-Zeilen (sudo unmount ...) dann jedes Mal vor dem Runterfahren eingeben?

(Ich versuche das morgen mal, so wie du es geschrieben hast, komme heute leider nicht mehr dazu, und melde mich dann noch mal.)
 
Mr.joker schrieb:
ich fände es einfach gut, definitiv zu wissen, ob das automatische Aushängen beim Herunterfahren unter Linux genauso funktioniert, wie unter Windows oder eben nicht.
Gefühlt sollte das schon so sein. Ich kenne Veracrypt leider auch nur von Windows, dort hat automatisches mounten/unmounten beim Starten und Herunterfahren wie bei dir immer super funktioniert.
Werde das aber jetzt mal bei mir (Artix kernel 5.14.6) testen, mal sehen, was passiert.
Was du aber auf jeden Fall auch probieren könntest, in Veracrypt unter Settings -> Preferences -> Mount Options "sync" einzutragen, damit Änderungen direkt auf die Platte geschrieben werden.
Mr.joker schrieb:
Einhängepunkt bearbeiten /home/Nutzer/luks; Einhängen per UUID
Ohne jetzt Erfahrungen speziell mit KDE-Partitionsverwaltung/ZuluCryptWie zu haben, aber wie genau sieht denn der fstab Eintrag dafür dann aus? Eventuell könnte hier "nofail", also zB "defaults,nofail" helfen. Dann ist zwar vielleicht die Partition noch nicht automatisch entschlüsselt und eingehängt, aber zumindest starten sollte einmal funktionieren.
Mr.joker schrieb:
Was mich dann auch zu der Frage bringt: Muss man die o.g. 4 Code-Zeilen (sudo unmount ...) dann jedes Mal vor dem Runterfahren eingeben?
Eigentlich nicht, das passiert beim shutdown von selbst. Habe ich selbst auch schon mit Systemplatte + interner Platte + 2 externen probiert, alle verschlüsselt, und zwar ohne Probleme.
 
iWaver schrieb:
...
Ohne jetzt Erfahrungen speziell mit KDE-Partitionsverwaltung/ZuluCryptWie zu haben, aber wie genau sieht denn der fstab Eintrag dafür dann aus? ...
Fstab-mit-Luks-HDD.png

Unten die letzte in der Liste ist die, die mit LUKS verschlüsselt sein sollte. Sieht für mich "unauffällig" aus (wie die anderen).

Ich habe jetzt mal versucht, deine Befehle abzuarbeiten ... Der erste Teil mit parted klappt noch.
Aber beim folgenden hört's dann auf:
... sudo mkfs.ext4 -T largefile /dev/sdd1
mke2fs 1.46.4 (18-Aug-2021)
/dev/sdd1 wird offensichtlich vom System genutzt; Dateisystem wird hier nicht angelegt!
Ich glaube, ich lasse das mit LUKS/dm-crypt erst mal. Ich sag's mal ganz noob-mäßig: Ich weiß nicht, ob aus so viel Gefrickel noch was Gutes werden kann!
Ich habe so das Gefühl, je "besser", also tiefer die Systemintegration, desto mehr kann auch schief gehen.

Eine veracrypt-verschlüsselte Platte taucht z.B. gar nicht erst in der fstab auf (infolge dessen kann es dort auch keine Fehleinträge geben).
Wobei ich mich am Rande aber auch frage, ob es vielleicht von der Zuverlässigkeit her einen Unterschied macht bei Veracrypt, wenn man entweder nur einen Container auf einer Festplatte anlegt oder die ganze Festplatte verschlüsselt.
Unter Windows hatte ich immer nur mit Containern gearbeitet.
Jetzt unter Linux habe ich die ganze Festplatte verschlüsselt, weil das (unter Linux) viel einfacher ist, als einen Container auf einer im System vorhandenen Festplatte zu erstellen.
Aber eigentlich sollte das doch keine Rolle spielen?

Na ja, ich denke, irgendwann demnächst, wenn ich meinen realen Umstieg von Windows auf Linux vollziehe (so ist im Moment zumindest der Plan), muss ich es auf die eine oder andere Art mit Veracrypt versuchen. Und dann kann ich nur täglich Datensicherung betreiben und ansonsten auf das Beste hoffen!
 
Mr.joker schrieb:
Unten die letzte in der Liste ist die, die mit LUKS verschlüsselt sein sollte.
Eben, dann schreib doch mal ein ",nofail" zu "defaults". Wie gesagt, behebt vielleicht nicht das problem an sich aber zumindest den abgebrochenen boot Vorgang.
/dev/sdd1 wird offensichtlich vom System genutzt; Dateisystem wird hier nicht angelegt!
Mea culpa, man sollte nicht um halb 12 Nachts solche Anleitungen schreiben.
Korrekt ist natürlich "sudo mkfs.ext4 -T largefile /dev/mapper/Platte" oder statt "Platte" der Namen deiner Wahl.
Hier ist ein Wiki-Artikel mit der korrekten Anleitung, den ich auch hier verwende.
Mr.joker schrieb:
Eine veracrypt-verschlüsselte Platte taucht z.B. gar nicht erst in der fstab auf (infolge dessen kann es dort auch keine Fehleinträge geben).
Ja und nein. Wenn du sie über das GUI öffnest, dann nicht.
Wenn du sie aber beim starten automatisch geöffnet und eingebunden haben willst, braucht du dafür Einträge in /etc/crypttab und /etc/fstab.
Hier ist eine Anleitung dazu, kann ich aber nicht testen, da mir dafür systemd fehlt. Bei deinem Manjaro sollteTM das aber funktionieren.
 
Zurück
Oben